ISO 27701
7. Mai 2026
ISO/IEC 27701: Was sich wirklich ändert – und was nicht Die ISO/IEC 27701 rückt als Standard für Datenschutz-Managementsysteme stärker in den Fokus. Gleichzeitig verlangen DSGVO,
Datenschutz von A bis Z
Nutzen Sie die Vorteile einer Datenschutzberatung und -betreuung aus einer Hand
Compliance und Rechenschaftspflicht
effiziente Umsetzung gesetzlicher und regulatorischer Vorgaben
Senkung von Haftungsrisiken
nachhaltige Senkung von Risiken sowie Vermeidung von Bußgeldern und Imageschäden
Mehrwert für Ihr Business
strukturierte Gestaltung von Datenschutz erhöht Vertrauen bei Belegschaft und Kunden
Verständlicher Datenschutz mit Best Practice
Datenschutz ist in der heutigen digitalisierten Welt ein essenzieller Faktor für jedes Unternehmen. Unser erfahrenes Team von Datenschutzexperten bietet Ihnen eine maßgeschneiderte Datenschutzberatung, um sicherzustellen, dass Ihr Unternehmen immer den aktuellen Datenschutzgesetzen entspricht. Wir helfen Ihnen, Datenschutzrisiken zu minimieren und schützen so Ihr Unternehmen vor möglichen rechtlichen Konsequenzen und Reputationsschäden.
Leistungen
Unsere Dienstleistungen im Bereich Datenschutz
Durch die Datenschutz-Grundverordnung (DSGVO) ist ein Datenschutz-Managementsystem unerlässlich geworden. Verbindliche Regeln sind das eine, zusätzlich braucht es „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen […]“. Hierbei stehen Ihnen die Experten der UIMC mit langjähriger Erfahrung fachlich und methodisch zur Seite!
Unsere Dienstleistungen umfassen sowohl die externe Übernahme der Funktion als Datenschutzbeauftragter als auch das Coaching interner Mitarbeiter für die Rolle des betrieblichen Datenschutzbeauftragten.
Hierbei können Sie entscheiden, ob wir Sie nach den Vorgaben der DSGVO „nur“ als reiner „Revisor“ oder umfassend als „Nanny“ unterstützen.
Ob KMU, Konzern, Gesundheitswesen oder andere Unternehmen und Institutionen: Wir haben stets die passende Lösung. Je nach Anforderungen und gewünschtem Unterstützungsbedarf bieten wir branchen-angepasste Lösungen, hoch-individuelle und professionelle Datenschutzberatung oder auf Standards basierende Unterstützung.
Wir unterstützen unsere Kunden bei der effizienten Erhebung und Bewertung der Ist-Situation. Ferner helfen wir bei der Maßnahmenplanung und tatkräftig bei der Umsetzung und führen regelmäßige Revisionen durch. Auch im Rahmen des Outsourcings können wir Lieferantenbewertungen bzw. Dienstleister-Auditierungen durchführen.
Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) sind die Kriterien für die Verarbeitung personenbezogener Daten strikter geworden. Wir sind Ihr fachkundiger DSGVO-Berater, wenn es um Datenschutz-Folgenabschätzung geht und haben hierzu auch ein Best Practice erarbeitet, um Sie optimal zu unterstützen.
Unsere effizienten Lösungen und Best Practices runden unsere Datenschutzberatung ab. Unsere umfangreiche Auswahl an Tools einschließlich Analyse-Tools, E-Learning, Datenschutzhandbuch und einem computergestützten Verfahrensverzeichnis ermöglichen optimale Ergebnisse für unsere Kunden.
Ablauf
Datenschutzberatung: Schritt für Schritt zum passenden Angebot
1
Individuelle Erstberatung
Wir verstehen und wissen, dass jede Organisation einzigartig ist. Daher suchen wir basierend auf Best Practice individuelle Lösungen, die auf Ihre spezifischen Bedürfnisse zugeschnitten sind. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihnen helfen können, Ihren Datenschutz und die DSGVO-Konformität zu verbessern. Dies gilt im Übrigen auch für alle Datenschutz-Gesetze in Deutschland, Österreich und der Schweiz.
3
Bedarfsanalyse
Nachdem Sie uns kontaktiert haben, werden wir uns schnellstmöglich mit Ihnen in Verbindung setzen, um herauszufinden, wie unsere Beratung und unsere fundierte Fachkenntnis Sie bei der Erfüllung von Datenschutzanforderungen unterstützen können. Unsere oberste Priorität ist dabei, eine aus unserem umfangreichen Datenschutzportfolio passende Dienstleistung zu wählen, die Ihren Bedürfnissen, Ihren Anforderungen und auch Ihrem Budget entspricht.
3
Individuelles Angebot
Nach der Bedarfsanalyse, übersenden wir Ihnen unser Angebot. Gerne kommen wir auch zu Ihnen ins Haus oder bieten Ihnen eine Remote-Beratung an.
Bei diesem Treffen haben Sie die Möglichkeit, mehr über unser Unternehmen, unsere Methoden und Vorgehensweise in der Datenschutzberatung sowie über unser Beraterteam zu erfahren. Zudem haben wir die Gelegenheit, Sie noch besser kennenzulernen.
4
Beratungsstart
Zu Beginn nehmen wir Kontakt zu Ihnen auf, um die ersten Datenschutzmaßnahmen zu planen. Unsere hoch qualifizierten Datenschutz-Beraterinnen und Berater stehen Ihnen zur Seite, egal ob es um spezifische Datenschutzfragen geht, um fortlaufende Unterstützung oder um Hilfe bei einzelnen Datenschutzprojekten. Dabei berücksichtigen wir nicht nur gesetzliche Anforderungen, sondern auch Ihre Unternehmensziele und Unternehmenskultur.
Vorteile
Nutzen Sie die Vorteile einer Datenschutzberatung durch UIMC
Profitieren Sie von unserer Erfahrung und Größe. Wir sind in der Lage, umfangreiche Projekte unabhängig von einzelnen Mitarbeitern durchzuführen und gleichzeitig individuell auf Ihre Bedürfnisse einzugehen.
Dabei berücksichtigen wir natürlich die Schnittstellen zur Beratung in Informationssicherheit sowie bei der Konzeption und Umsetzung.
Datenschutz aus einer Hand
Bei uns erhalten Sie sämtliche Leistungen und Beratung rund um das Thema Datenschutz aus einer Hand. Wir helfen Ihnen mit pragmatischen Lösungen und verständlichen Informationen, damit Sie Ihre internen Prozesse datenschutzkonform gestalten aufbauen können.
Vielseitige Experten
Unsere rund 30 Mitarbeiterinnen und Mitarbeitern haben breit gefächerte Spezialisierungen, die für praxisnahe Lösungen sorgen. Diese Kompetenzen können wir selbstverständlich mit Zertifikaten nachweisen.
Über 400 erfolgreiche Projekte
Unsere Erfolge sprechen für sich selbst! Wir haben aktuell mehr als 400 Bestellungen zum externen Datenschutzbeauftragten.
News
Aktuelles & Interessantes zum Datenschutz
Weiterlesen »
Datenschutz beim Betrieblichen Eingliederungsmanagement
28. April 2026
Datenschutzkonforme Verarbeitung von Krankheitsdaten der Mitarbeitenden Krankenrückkehr-Gespräche sind nicht nur möglich, sondern im Rahmen des Betrieblichen Eingliederungsmanagements teilweise sogar gesetzlich gefordert. Ziel ist es hierbei,
Multifaktor-Authentifizierung
21. April 2026
Multifaktor-Authentifizierung: Warum MFA immer wichtiger wird Multifaktor-Authentifizierung (MFA) ist längst kein „Nice-to-have“ mehr, sondern ein zentraler Baustein moderner IT-Sicherheit. Innerhalb des NIS2 und dem novellierten
FAQ
Häufige Fragen rund um Datenschutz
Profitieren Sie von unserer Größe: Wir sind in der Lage umfangreichere Projekte unabhängig von einzelnen Mitarbeitern durchführen und gleichzeitig individuellen Bedürfnisse auf Ihre einzugehen. Dabei berücksichtigen wir natürlich die Schnittstellen zur Beratung in Informationssicherheit bei Konzeption und Umsetzung.
Wann braucht ein Unternehmen einen Datenschutzbeauftragten?
Gemäß DSGVO ist ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder eine umfangreiche Verarbeitung besonderer Kategorien von Daten stattfindet (bspw. Gesundheitsdaten).
Behörden und öffentliche Stelle müssen immer einer DSB bestellen.
Ein Unternehmen in Deutschland muss laut § 38 BDSG einen Datenschutzbeauftragten bestellen, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies gilt auch bei geringerer Mitarbeiterzahl, wenn besonders sensible Daten verarbeitet werden oder eine automatisierte Verarbeitung (z.B. Marketing, Tracking) vorliegt.
Losgelöst von der Bestellpflicht gilt zu beachten, dass unabhängig davon, sämtliche Anforderungen der DSGVO vollumfänglich umzusetzen sind.
Ferner ist es empfehlenswert, einen DSB zu bestellen, wenn beispielsweise große Kundendatenbestände verarbeitet werden, es (beispielsweise im Konzern) internationale Datenflüsse gibt oder regelmäßig Betroffenenanfragen (Auskunft, Löschung, Widerspruch) oder -beschwerden eingehen.
Erhöht sich das persönliche Haftungsrisiko der Geschäftsführung ohne Datenschutzbeauftragten?
Sofern keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, kann auch die Funktion verzichtet werden. Wenn aber keine anderweitige unabhängige Kontroll- und Beratungsinstanz etabliert wird, bleibt Organisationsverschulden vollumfänglich bei der Geschäftsführung.
Es ist daher intern festzulegen, wer sich um den Datenschutz verantwortlich kümmert, um kein Kompetenz-Vakuum entstehen zu lassen. Empfehlenswert ist ein:e Datenschutzmanager:in oder eine Compliance-Funktion mit klarer Berichtslinie an die Geschäftsführung.
Es ist eine organisatorische Trennung von operativer Verarbeitung und Datenschutzkontrolle sicherzustellen. Externe Personen stellen dies in der Regel sicher; aber auch interne Personen können dies sicherstellen, wenn klare Regeln erstellt werden und die Person als Stabsstelle agieren kann.
Was muss ich bei der Bestellung eines Datenschutzbeauftragten beachten?
Der Datenschutzbeauftragte muss sowohl fachkundig als auch zuverlässig sein. Gerade im Rahmen der Zuverlässigkeit entstehen oftmals Probleme, wenn der Teilzeit-Datenschutzbeauftragte mit weiteren Tätigkeitsfeldern in einen Interessenkonflikt gerät. Näheres finden Sie auch unter Aufgaben des Datenschutzbeauftragten.
Muss der Datenschutzbeauftragte ein interner Mitarbeiter sein?
Innerhalb des Bundesdatenschutzgesetzes, welches für die Privatwirtschaft gilt, ist explizit die Bestellung einer externen Person ermöglicht. Somit kann die UIMC sowohl einen intern bestellten Datenschutzbeauftragten im Rahmen eines Coachings als auch durch einen externen Datenschutzbeauftragten unterstützen.
Welche Anforderungen muss ich umsetzen?
Es existiert eine Vielzahl an Forderungen, die gesetzlich erfüllt werden müssen. Viele dieser Anforderungen sind unabhängig von den Rechtsgrundlagen, gelten sinngemäß also sowohl im Bundes- als auch im Kirchen- und Landesrecht. Die wesentlichen Anforderungen und Empfehlungen sind u. a.:
• Bestellung eines fachkundigen und zuverlässigen Datenschutzbeauftragten,
• Überwachung der ordnungsgemäßen Anwendung der EDV,
• Etablierung einer Aufbau- und Ablauforganisation (Datenschutz-Managementsystem),
• Schulung und Sensibilisierung der Mitarbeiter,
• Erstellung einer Übersicht der verwendeten Verfahren,
• Verpflichtung und Überprüfung der Dienstleister,
• Umsetzung von technisch-organisatorischen Maßnahmen (unter Berücksichtigung der Angemessenheit).
Welche Aufgaben müssen unabhängig von der Bestellung erfüllt werden?
Die Datenschutz-Grundverordnung (DSGVO) unterscheidet klar zwischen der Pflicht zur Benennung eines Datenschutzbeauftragten (Artikel 37 DSGVO) und den allgemeinen Datenschutzpflichten des Verantwortlichen. Fällt ein Unternehmen nicht unter die Bestellpflicht, entfällt lediglich die formale Funktion des Datenschutzbeauftragten – nicht jedoch die Verantwortung für Datenschutz insgesamt.
Mit anderen Worten:
- Es gibt keine „Befreiung vom Datenschutz“ für kleinere oder bestimmte Unternehmen.
- Die Geschäftsführung bleibt vollumfänglich verantwortlich für die Einhaltung der DSGVO.
- Aufsichtsbehörden prüfen im Fall eines Vorfalls oder einer Beschwerde, ob eine angemessene Datenschutzorganisation existiert – unabhängig von einem benannten DSB.
Gerade Unternehmen ohne formale DSB-Pflicht benötigen deshalb klare Zuständigkeiten, Prozesse und Kontrollen, um Datenschutzaufgaben verlässlich wahrzunehmen und nachweisbar zu erfüllen.
Wer ist für den Datenschutz verantwortlich?
Grundsätzlich ist stets der Geschäftsführer, Leiter der Behörde, Vorstand etc., also der „Leiter der datenverarbeitenden Stelle“ für den Datenschutz verantwortlich. Es gibt verschiedene Herangehensweisen, das Risiko der persönlichen Haftung maßgeblich zu mindern, wie z. B. den Aufbau einer Datenschutz-Organisation. Aber es trägt auch jeder Mitarbeiter einen Teil der Verantwortung.
Welche Datenschutzgesetze gelten neben der DSGVO?
Neben der Datenschutz-Grundverordnung (DSGVO) existieren innerhalb von Deutschland diverse Datenschutzgesetze und Gesetze mit datenschutzrechtlichen Regeln. Gerne können Sie aber auch auf uns zukommen – wir beraten Sie gerne.
Wie stelle ich sicher, dass der Datenschutz auch (pragmatisch) gelebt wird?
Über die Schaffung von transparenten und verbindlichen Regelungen hinaus ist es zur effektiven Umsetzung unerlässlich, die Mitarbeiter im Hinblick auf die Risiken zu sensibilisieren und auf die Maßnahmen zu schulen. Sie sind unsicher, welche Schulungsformen für Sie am besten geeignet sind? Hier finden Sie einige Informationen zu Schulungsmöglichkeiten bei UIMC.
Was muss ich beim Outsourcing an einen IT-Dienstleister beachten?
In den meisten Datenschutzgesetzen werden Sie dazu verpflichtet, sich beim Dienstleister im Rahmen der Auftragsverarbeitung von der Ordnungsmäßigkeit der Datenverarbeitung bzw. Dienstleistungsausführung zu überzeugen. Dies kann von der Unterzeichnung einer Selbstverpflichtung des Dienstleisters über das Einfordern eines Zertifikats bis hin zu einer eigenen, koordinierten oder beauftragten Auditierung ausgestaltet werden. Das konkrete Vorgehen sollte stets mit dem Datenschutzbeauftragten auf Basis einer Risikoanalyse/-betrachtung abgestimmt werden.
Was ist eine Datenschutz-Folgenabschätzung?
Die Datenschutz-Folgenabschätzung (DSFA) ist ein verpflichtendes Instrument der DSGVO (Art. 35) zur Bewertung von Risiken, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen birgt. Sie dient der Identifikation, Dokumentation und Minimierung dieser Risiken.
Eine Datenschutz-Folgenabschätzung muss vorab durchgeführt werden, wenn eine geplante oder bestehende Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist insbesondere bei neuen Technologien, umfangreicher Verarbeitung sensibler Daten, systematischer Überwachung oder Profiling erforderlich, um Risiken für Betroffene zu minimieren.
Was passiert, wenn man gegen den Datenschutz verstößt?
Verstöße gegen den Datenschutz können zu erheblichen Geldstrafen (bis zu 4% des weltweit erzielten Jahresumsatzes oder 20 Mio. Euro), Reputationsverlust und in manchen Fällen sogar zu strafrechtlicher Verfolgung führen. Diese Strafen können sowohl Einzelpersonen als auch Unternehmen betreffen. Datenschutzverstöße können zudem erhebliche Auswirkungen auf das Vertrauen von Kunden oder Nutzern haben.
Wie reagiert die Aufsichtsbehörde bei festgestellten Mängeln, wenn kein Datenschutzbeauftragter bestellt wurde?
Sofern keine Bestellpflicht besteht, liegt hier weder ein Mangel vor noch ist dies sanktionsverschärfend. Die Aufsichtsbehörde prüft aber sehr wohl die Angemessenheit der Organisation – fehlende Strukturen wirken dann regelmäßig sanktionsverschärfend.
Was bedeutet es, auf die Bestellung eines DSB zu verzichten?
Dies kann nicht pauschal beantwortet werden. Kurzfristig ist es sicherlich wirtschaftlich günstig, da die Kosten des Datenschutzbeauftragten eingespart werden.
Um langfristig aber Fehlrisiken, Bußgelder und Reputationsschäden entstehen zu lassen, sind klare Governance-Strukturen zu schaffen, die letztlich auch Kosten erzeugen. Somit ist nicht mit Einsparungen zu rechnen.
Der Verzicht kann als geringere Datenschutzreife interpretiert werden, insbesondere bei Kunden und Mitarbeitenden. Dies kann zu Image-Einbußen führen.
Es bleibt abzuwarten, ob dies Auswirkungen auf Audits und Ausschreibungen hat. Aktuell ist die Frage nach einem Datenschutzbeauftragten ein Standard-Governance-Element. Künftig wird dies vermutlich mit Nachweisen nach einem Datenschutz-Managementsystem ersetzt.